SeaGlass：手工搭建偽基站監控系統

「偽基站」即假基站，設備一般由主機和筆記本電腦或手機組成，通過簡訊群發器、簡訊發信機等相關設備能夠搜取以其為中心、一定半徑範圍內的手機卡信息，利用2G移動通信的缺陷，通過偽裝成運營商的基站，冒用他人手機號碼強行向用戶手機發送詐騙、廣告推銷等簡訊息。近兩年BAT3在國內搭建了強大的偽基站監控系統，在打擊犯罪上貢獻不少。

最近數年來，隨著偽基站、黃貂魚（IMSI-catcher）技術的快速發展，大家的手機很容易被這類設備信號劫持。它們可以精確定位手機、竊聽通信、發送垃圾信息甚至遠程植入木馬。

IMSI-catcher

近期泄漏數據和公開請求記錄顯示，美國政府在巴爾的摩、密爾沃基、紐約、塔科馬、阿納海姆、圖森等多個城市的執法行動中使用過黃貂魚，放在機動車或者飛機上來識別和定位嫌疑犯。這類強大的監控裝置長期處於司法監督空白區域，為了提高透明度和問責制度，我們應該關心誰使用了、用了多久、何時使用等信息。SeaGlass是由華盛頓大學的安全研究人員設計的系統，用於觀測城市中的偽基站、黃貂魚的活動情況。SeaGlass硬體以上為背景介紹，下邊我們來看SeaGlass的硬體部分，主要是感測器。感測器收集所有基站信號數據並上傳至伺服器，它利用演算法去識別可能存在的黃貂魚信號。

感測器部件

• 1.Raspberry Pi電腦
• 2.蜂窩數據機掃描細胞頻譜
• 3.全球定位系統
• 4.誘餌手機
• 5.移動熱點上傳數據

感測器部件

SeaGlass感測器採用現成的零件，裝在箱子里，並安裝到車子的後備箱。當車子在城市行駛時，感測器會不斷收集和上傳發射塔信號數據到雲端。

這些感測器比手機更具有優勢，因為它們有專門的蜂窩掃描組件和外部天線，用於接收到更多的信息。雖然手機上裝個應用也可以看到當前連接基站的有限信息，但感測器一次可以觀測數百個無線頻道和接收數十個廣播屬性。

全市收集

我們在西雅圖、密爾沃基兩個城市內進行嘗試，在兩個月內收集了數百萬次觀測。

西雅圖和密爾沃基的測量範圍如下圖，熱圖顏色表示每平方公里的測量次數，動圖顯示兩個月內掃描到的所有基站位置。

西雅圖（圖像放大到市中心）

密爾沃基（圖像放大到市中心）

每個基站都有不同位置的數百或數千個測量結果，這讓我們可以準確地對潛在基站進行建模。在西雅圖共找到了超過1400個不同的基站，在密爾沃基找到了600多個。

西雅圖Lake Union地區某個基站在兩個月內周圍信號的變動如下所示：

紅色為較強信號，藍色為弱信號

通過對每個基站的典型行為進行建模，SeaGlass能找出存在異常行為的基站。

演算法

黃貂魚的監控行為非常隱蔽，但如果你有足夠密度的城市蜂窩網路分布圖視圖，便能夠檢測到相關的異常行為。

我們設計了檢測方法，可以在項目收集的數據上自動標記異常點。SeaGlass項目對這幾個異常特徵進行檢測：

為了以正常蜂窩網路相同的頻率進行信號廣播，黃貂魚可以模擬合法基站的可識別屬性（MCC、MNC、基站ID等）。黃貂魚通常會使用更強的信號廣播來劫持手機，並遠離模擬的真基站，以避免干擾到真基站的運作。

為每個基站建立模型，顯示出基站信號的位置分佈，可以很容易識別出與正常信號分佈不符的信號。如圖所示，在基站7843的信號分布圖上，較暗的顏色代表更強的信號，較大尺寸代表統計觀測到的異常結果，請注意底部的大圓點。

為避免干擾基礎網路，黃貂魚假冒附近基站時，會在不同頻率/頻道上廣播信號。大多數基站只在一個或兩個頻道傳輸信號，如果某個基站總是不停地換頻道，那麼很可能是附近有人在用黃貂魚。

如圖顯示了某個基站ID在6個頻道上進行廣播，位置是西雅圖南部的地方單位公民和移民服務（USCIS）大樓附近。可以比較的是，本次數據中沒有發現有任何其它基站在超過3個頻道上傳輸的，96%以上的基站僅在單個頻道上傳輸。圖中不同顏色代表不同頻道，尺寸代表接收信號強度。請注意USCIS大樓附近的異常顏色區域。

每個基站都會廣播自身的配置屬性，以便手機調整信號、通報基站支持的功能。這些屬性是獨特的，但同一城市、同一運營商下基站的大部分屬性都相同。SeaGlass項目在收集兩個城市不同運營商廣播信號時，會統計相關屬性分佈。

黃貂魚必須廣播自己是某運營商網路的基站，除非竊聽者將它配置為完全仿照模式（所有屬性和該網路基站一致），否則它是可識別的。

繼續看圖，如圖顯示了西雅圖塔科馬國際機場附近某個基站ID的觀測數據，在兩個月內它被觀測到2千多次，屬性信息非常穩定，和該網路下其它基站一致。但有一次信號異常，屬性信息遠超出西雅圖網路內所有基站的預期範圍，即圖中紅點，出現四種異常的BCCH屬性（MSTXPWR, RXACCMIN, CRH, T3212）。

時間變化

與正常基站不同，黃貂魚通常被設計為便攜、短時間使用、對感興趣目標的長期監聽。某些情況下，當有臨時需求時會需要移動真實基站去支援，比如體育賽事，不過這種情況不多見。因此，任何短時間使用傳輸的基站都是可疑的，應該需要調查。

在統計數據中，我們找到一些臨時基站，但進一步調查顯示，它們大概率只是日常維護中關閉的基站。

結果驗證

研究團隊正嘗試通過一些二手信息源來驗證結果，比如公開請求記錄。SeaGlass檢測到了許多可疑的信號，由於沒有獨立驗證，現在還不能肯定說這些可疑信號就是黃貂魚造成的。

技術細節

關於SeaGlass感測器的詳細信息，感測器、數據採集系統、檢測演算法和結果，大家可以在研究團隊發布的論文中看到。

相關代碼放在Github上。